AUDITORÍA INFORMÁTICA Ing. Lisbeth Arévalo
ANALISIS DE RIESGOS. •El análisis del riesgo es parte de la planificación de auditoria y ayuda a identificar los riesgos y vulnerabilidades para que el auditor pueda determinar los controles que se necesitan para mitigar esos riesgos. •DEFINICION: Un riesgo es cualquier evento que afecte de manera negativa el logro de los objetivos del negocio. •Según las directrices para la Administración de la Seguridad de TI publicados por la ISO, la definición de análisis de riesgo es: “El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al valor de la perdida/daño y la frecuencia estimada de la amenaza para el negocio”.
ELEMENTOS DE RIESGOS. •Amenazas a, y vulnerabilidades de, los procesos y/o activos (incluyendo los activos físicos como de información) •Impacto sobre los activos basados en las amenazas y las vulnerabilidades •Probabilidades de amenazas (combinación de la probabilidad y la frecuencia de que ocurran). La naturaleza de las amenazas pueden ser financiera, reguladora u operacional y puede surgir como resultado de la interacción del negocio con su ambiento o como resultado de las estrategias, sistemas y tecnología particular, procesos, procedimientos e información usada por el negocio.
PROCESO DE ADMINISTRACION DE RIESGOS. •Identificar los objetivos del negocio, activos de información, y los sistemas o recursos de información que generan/almacenan, usan o manipulan los activos clave (hw, sw, DB, redes, instalaciones, personas, etc). •Evaluación de riesgos para identificar los riesgos, determinar la probabilidad de ocurrencia, y el impacto resultante y las medidas adicionales que mitigarían este impacto a un nivel aceptable de dirección. •Mitigar riesgos, identificando controles para mitigar los riesgos identificados. Son contramedidas que buscan prevenir o reducir la probabilidad de ocurrencia de un evento del riesgo, detectar la ocurrencia del mismo, minimizar el impacto o transferir el riesgo a otra organización. •Evaluar las contramedidas a través de un análisis costo/beneficio •Monitorear los niveles de desempeño de los riesgos administrados, cuando hay cambios significativos, implica (evaluación de riesgos, mitigación de riesgos y reevaluacion de riesgos), lo que se busca es determinar si los riesgos se están mitigando a un nivel aceptable para la organización.
PROPOSITO DEL ANÁLISIS DE RIESGOS.
•Apoya al auditor en: •La identificación de riesgos y amenazas. •La selección de ciertas áreas para examinar. •Su evaluación de los controles durante la planeación de auditoria. •Determinar los objetivos de la auditoria. •Dar soporte a la auditoria basada en riesgos.
CONTROLES INTERNOS.
•Las políticas, procedimientos, practicas y estructuras organizacionales implementadas para reducir riesgos son referidas como controles internos. •Los controles internos son desarrollados para proveer una garantía razonable de que los objetivos del negocio de la organización serán alcanzados y que los eventos de riesgo no deseados serán evitados o detectados y corregidos.
CLASIFICACIÓN DE LOS CONTROLES. CLASE
FUNCION
EJEMPLOS
PREVENTIVOS
•Detectar problemas antes de que surjan. •Monitorear tanto las operaciones como el ingreso de datos. •Tratar de predecir los problemas potenciales antes de que estos ocurran y hacer ajustes. •Impedir que ocurra un error, una omisión o un acto malicioso.
•Emplear solo personal calificado. •Segregar las tareas (factor disuasivo) •Controlar el acceso físico a las instalaciones. •Usar documentos bien diseñados (prevenir errores) •Establecer procedimientos adecuados para autorizar •transacciones. •Completar las validaciones de edición programadas. •Usar software de control de acceso que permita que solo el personal autorizado tenga acceso a los archivos sensitivos.
CLASIFICACIÓN DE LOS CONTROLES. CLASE DE DETECCION
FUNCION
EJEMPLOS
Controles que detectan y reporten que ha ocurrido un o •Puntos de verificación en los error, una omisión o un acto trabajos de producción. malicioso. •Controles de eco en las telecomunicaciones. •Mensajes de error en las etiquetas de la cinta. •Verificación doble de los cálculos. •Realización periódica de reportes con variaciones. •Reportes de cuentas vencidas. •Funciones de auditoria interna. •Revisión de registros de actividad para detectar intentos de acceso no autorizado
CLASIFICACIÓN DE LOS CONTROLES. CLASE
FUNCION
EJEMPLOS
CORRECTIVOS
•Minimizar el impacto de una amenaza. •Remediar problemas descubiertos por los controles de detección. •Identificar la causa de un problema. •Corregir los errores que surjan de un problema. •Modificar el o los sistemas de procesamiento para minimizar que el problema ocurra en el futuro.
Planeación de contingencias. Procedimientos de copias de seguridad. Procedimientos de nueva ejecución de programa.
OBJETIVOS DE CONTROL INTERNO •Son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. •Control es el medio por el cual se alcanzan los objetivos de control. •Los objetivos de control incluyen: •Salvaguarda de los activos de tecnología de información. •Cumplimiento con las políticas corporativas o requisitos legales. •Autorización / entrada •Exactitud e integridad del procesamiento de transacciones. •Salida de Información •Confiabilidad de proceso •Respaldo / recuperación •Eficiencia y economía de las operaciones. •Proceso de administración de cambios para TI y SI relacionados
OBJETIVOS DE CONTROL DE SI •Los objetivos de control interno se aplican a todas las áreas, ya sean manuales o automatizadas. •Los objetivos de control de SI incluyen: •Salvaguardar activos. •Garantizar la integridad de los sistemas operativos generales que incluye administración y operaciones de red. •Garantizar la integridad de los ambientes de sistemas de aplicación sensitivos y críticos, incluyendo información contable / financiera y administrativa, a través de: Autorización para el ingreso de datos, exactitud e integridad del procesamiento de transacciones así como de la información de salida , e integridad de la base de datos. •Asegurar la eficiencia y eficacia de las operaciones •Cumplimiento con los requerimientos de usuario, políticas y procedimientos organizacionales y leyes y reglamentaciones. •Desarrollo de planes de continuidad del negocio y recuperación de desastres. •Desarrollo de un plan de manejo y respuesta a incidentes.
COBIT Framework formado por 34 procesos agrupados en 4 dominios.
PROCEDIMIENTOS DE CONTROL GENERAL •Los controles incluyen políticas, procedimientos y practicas (tareas y actividades) establecidos por la gerencia. •Los controles generales se aplican a todas las áreas de la organización, estos incluyen: •Controles internos contables, referidos a la salvaguarda de los activos y la fiabilidad de los registros financieros. •Controles operativos •Controles administrativos •Políticas y procedimientos organizacionales de seguridad lógica para asegurar la debida autorización de las transacciones y actividades. •Políticas generales para el diseño y uso de documentos y registros adecuados para ayudar a asegurar el debido registro de as transacciones – pista de auditoria transaccional. •Procedimientos y funciones para asegurar las salvaguardas adecuadas sobre el acceso a, y el uso de activos e instalaciones. •Políticas de seguridad física para todos los centros de datos.
PROCEDIMIENTOS DE CONTROL DE LOS SI •Cada procedimiento de control general puede ser traducido en un procedimiento especifico. •Estos controles incluyen: •Estrategia y dirección. •Organización y administración general. •Acceso a los datos y programas. •Metodologías de desarrollo de sistemas y control de cambios. •Operaciones de procesamiento de datos. •Programación de sistemas y funciones de apoyo técnico. •Procedimientos de garantía de calidad de procesamiento de datos. •Controles físicos de acceso. •Planificación de continuidad / recuperación de desastre del negocio •Redes y comunicaciones. •Administración de base de datos.
EJECUCIÓN DE UNA AUDITORIA DE SI •La auditoria puede definirse como un proceso sistemático por el cual una persona competente, independiente obtiene y evalúa objetivamente evidencias respecto a afirmaciones sobre una entidad económica o un caso con el fin de formarse una opinión sobre ello e informar sobre el grado en que dicha afirmación se ajusta a un conjunto determinado de estándares. •La auditoria de SI puede definirse como cualquier auditoria que abarca la revisión y evaluación (parcial o total) de los sistemas automatizados de procesamiento de información, procesos relacionados no automatizados y las interfaces entre ellos. •El proceso de auditoria requiere que el auditor de SI reúna evidencias, evalué los puntos fuertes y débiles de los controles basándose en las evidencias reunidas y prepare un informe de auditoria que presente a la gerencia dichos picos en una forma objetiva
CLASIFICACIÓN DE LAS AUDITORIAS
•AUDITORIA FINANCIERA: Su propósito es determinar la exactitud de los estados financieros. Normalmente implica pruebas sustantivas detalladas. Se relaciona con la integridad y confiabilidad de la información. •AUDITORIA OPERATIVA: Esta diseñada para evaluar la estructura de control interno en un proceso o área determinada. Ej: •Auditoria de SI de controles de aplicación •Auditoria de sistemas de seguridad lógica.
CLASIFICACIÓN DE LAS AUDITORIAS
•AUDITORIA INTEGRADA: Combina pasos de auditoria financiera y operativa. También se realiza para evaluar objetivos generales dentro de una organización, relacionados con la información financiera y la salvaguarda de activos, la eficiencia y el cumplimiento. Incluyen pruebas de cumplimiento a los controles internos así como pruebas sustantivas. •AUDITORIA ADMINISTRATIVA: Orientadas a evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización.
CLASIFICACIÓN DE LAS AUDITORIAS AUDITORIA DE SI: Este proceso recolecta y evalúa la evidencia para determinar si los SI y los recursos relacionados: •Protegen adecuadamente los activos •Mantienen la integridad de los datos y del sistema •Proveen información relevante y confiable. •Logran de forma efectiva la metas organizacionales •Usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable que los objetivos de negocio, operacionales y de control serán alcanzados y que los eventos no deseados serán prevenidos o detectados y corregidos de forma oportuna.
CLASIFICACIÓN DE LAS AUDITORIAS • AUDITORIA ESPECIALIZADA: Existen un numero de revisiones especializadas que examinan áreas tales como los servicios realizados por terceros y la auditoria forense. – En vista que los negocios dependen cada vez mas de servicios prestados por terceros, es importante que se evalúe los controles internos de estos ambientes. – Es estándar conocido para evaluar los controles internos de una organización de servicios es el SAS 70, titulado “Informes sobre el procesamiento de transacciones por organizaciones de servicio” desarrollado por el Instituto Americano de Contadores Públicos Certificados – AICPA.
CLASIFICACIÓN DE LAS AUDITORIAS • AUDITORIA FORENSE: Tradicionalmente ha sido definida como una auditoria especializada en descubrir, revelar y dar seguimiento a fraudes y crímenes. – El propósito primario era el desarrollo de evidencia para ser revisado por autoridades policiales y judiciales. – Recientemente el profesional forense es llamado para participar en investigaciones relacionadas con fraude corporativo y crimen cibernético. • Una investigación forense de computadora incluye el análisis de dispositivos electrónicos, tales como computadoras, teléfonos, PDAs, discos, switches, routers, hubs etc.
– El auditor de SI que posea habilidades necesarias puede asistir al gerente de seguridad de la información en la realización de investigaciones forenses y llevar a cabo auditorias para asegurar que se cumplan los procedimientos de recolección de evidencia para la investigación forense.
PROGRAMAS DE AUDITORIAS • Se basan en el alcance y objetivo de la asignación en particular. • Los auditores de SI evalúan a menudo las funciones y los sistemas de TI desde perspectivas diferentes como: – – – – –
Seguridad (confidencialidad, integridad y disponibilidad) Calidad (efectividad y eficiencia) Fiduciaria (cumplimiento, confiabilidad) Servicio Capacidad
• Programa de trabajo de auditoria es la estrategia y el plan de auditoria identifica el alcance, objetivos y procedimientos de auditoria para lograr evidencia suficiente y competente para obtener y sustentar las auditoria conclusiones y opiniones de auditoria.
PROGRAMAS DE AUDITORIAS • Los procedimientos generales de auditoria son los pasos básicos en la ejecución de una auditoria y generalmente incluyen: – Obtención y documentación del conocimiento sobre el área/objeto de la auditoria. – Evaluación de riesgos y planeación general de la auditoria y cronograma – Planeación detallada de auditoria – Revisión preliminar del área/objeto de la auditoria. – Evaluación del área/objeto de la auditoria – Verificación del diseño de controles – Pruebas de cumplimiento – Pruebas sustantivas – Informe – Seguimiento
PROGRAMAS DE AUDITORIAS • El auditor de SI debe entender los procedimientos par la prueba y evaluación de los controles de SI, estos pueden incluir: – Uso de SW generalizado de auditoria para examinar el contenido de archivos de datos (incluyendo logs del sistema). – Uso de SW especializado para evaluar el contenido de archivos de parámetros del sistema operativo (o detectar deficiencias en el establecimiento de parámetros del sistema). – Técnicas de elaboración de diagramas de flujo para la documentación de aplicaciones automatizadas y del proceso del negocio. – Uso de registros/reportes de auditoria disponibles en los sistemas operativos / de aplicación. – Revisión de la documentación y Observación.
• El auditor de SI debe tener un entendimiento suficiente de estos procedimientos que le permita planear pruebas apropiadas de auditoria.
METODOLOGIA DE AUDITORIA
• Es un conjunto de procedimientos documentados de auditoria diseñados para alcanzar los objetivos de auditoria que se planificaron. • Sus componentes son: – Declaración del alcance – Declaración de los objetivos de auditoria – Declaración de los programas de trabajo
• La metodología de auditoria debe ser establecida y aprobada por la gerencia de auditoria para lograr consistencia en el enfoque de auditoria.
FASES DE UNA AUDITORIA TIPICA CLASE
EJEMPLOS
SUJETO DE LA AUDITORIA
Identificar el área que será auditada.
OBJETIVO DE LA AUDITORIA
•Identificar el propósito de la auditoria. •Ejemplo (un objetivo podría ser determinar que los cambios de código de fuente de programa ocurren en un ambiente bien definido y controlado)
ALCANCE DE LA AUDITORIA
•Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión. Ejemplo, del ejemplo anterior se puede afirmar que el alcance podría limitar a la revisión a un solo sistema de aplicación o a un periodo de tiempo limitado.
FASES DE UNA AUDITORIA TIPICA CLASE
EJEMPLOS
PLANIFICACIÓN DE AUDITORIA
•Identificar las habilidades y recursos técnicos que se necesitan. •Identificar las fuentes de información para probarlas o revisarlas como cuadros funcionales de flujo, políticas, estándares, procedimientos y documentos de trabajo preliminares de auditoria. •Identificar las ubicaciones o las instalaciones que serán auditadas
PROCEDIMIENTOS DE AUDITORIA Y PASOS PARA LA RECOLECCION DE DATOS
Identificar y seleccionar el método de auditoria para verificar y probar los controles. Identificar una lista de personas para entrevistar. Identificar y obtener políticas, estándares y directrices de los departamentos para su revisión. Desarrollar instrumentos y metodología de auditoria para comprobar y verificar el control.
FASES DE UNA AUDITORIA TIPICA CLASE
EJEMPLOS
PROCEDIMIENTOS PARA EVALUAR LA PRUEBA O REVISAR LOS RESULTADOS
•Especifica a la organización
PROCEDIMIENTOS PARA COMUNICARSE CON LA GERENCIA
Especifica a la organización
ELABORACION DEL INFORME DE AUDITORIA
•Identificar los procedimientos de revisión del seguimiento. •Identificar los procedimientos para evaluar /comprobar la eficiencia y la eficacia operacional. •Identificar los procedimientos para comprobar los controles. •Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.
FASES DE UNA AUDITORIA TIPICA • Un programa no sigue necesariamente un conjunto especifico de pasos, el auditor de SI generalmente seguiría pasos secuenciales del programa para obtener un entendimiento de la entidad que se esta auditando, evaluar la estructura de control y probar los controles. • Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoria deberán estar debidamente documentados en papeles de trabajo. • Su formato y medios son opcionales, pero la debida diligencia y mejores practicas requieren que los documentos de trabajo estén fechados, inicializados, con paginas numeradas, sean relevantes, completos, claros, auto-explicativos y debidamente etiquetados, archivados y mantenidos en custodia. • Los papeles de trabajo se pueden considerar los puentes entre los objetivos y el informe final de auditoria.
RIESGO AUDITORIA Y MATERIALIDAD
• Cada vez más, organizaciones están basándose a un método de auditoria basado en riesgo que usualmente esta adaptado para desarrollar y mejorar de manera continua el proceso de auditoria. • El riesgo de auditoria puede ser definido como el riesgo de que la información / informe financiero pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de auditoria.
RIESGO AUDITORIA Y MATERIALIDAD • La tendencia actual es a usar un método basado en riesgos. • Este método se usa para evaluar riesgos y para apoyar la decisión del auditor para realizar pruebas de cumplimiento o pruebas sustantivas. • Este método apoya a determinar la naturaleza y la extensión de las pruebas, además de determinar que prueba realizar (cumplimiento o sustantiva) • En un enfoque basado en riesgos, no solo se debe basar en el riesgo, sino también en los controles internos y operativos y los conocimientos de la empresa.
RIESGO AUDITORIA Y MATERIALIDAD • RIESGO INHERENTE: El riesgo de que exista un error que podría ser material o significativo cuando esta combinando con otros errores encontrados durante la auditoria suponiendo que no hay controles compensatorios relacionados. Existen independientemente de una auditoria y pueden ocurrir debido a la naturaleza del negocio. • RIESGO DE CONTROL: El riesgo de que exista un error material que no sea prevenido ni detectado oportunamente por el sistema de controles internos.
RIESGO AUDITORIA Y MATERIALIDAD
• RIESGO DE DETECCION: El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que no existen errores materiales cuando en realidad existen. • RIESGO GENERAL DE AUDITORIA: El riesgo total de auditoria es la combinación de las categorías individuales de riesgos de auditoria determinados por cada objetivo de control.
ENFOQUE DE AUDITORIA BASADA EN RIESGOS
PRUEBAS DE CUMPLIMIENTO VS PRUEBAS SUSTANTIVAS • Las pruebas de cumplimiento determinan si los controles están siendo aplicados en una forma que cumple con las políticas y los procedimientos de la gerencia. (Ejemplo: verificar que los controles de librería de programas están funcionando correctamente, escogiendo una muestra de programas para determinar si las versiones fuente y objeto son las mismas) • El objetivo de cualquier prueba de cumplimiento es por lo tanto proveer a los auditores la garantía razonable de que un control en particular este operando como se percibió en la evaluación preliminar.
PRUEBAS DE SUSTANTIVAS
CUMPLIMIENTO
VS
PRUEBAS
โ ข La prueba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencias de la validez y de la correcciรณn de los balances de los estados financieros y las transacciones que respaldan estos balances. Estas pruebas se usan para comprobar si hay errores monetarios que afectan directamente los balances de los estados financieros..
EN CONLUSION • Hay una correlación directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas que se requieren. Si los resultados de los controles de comprobación (pruebas de cumplimiento) revelaran la presencia de controles internos adecuados, entonces, el auditor de SI tiene una justificación para minimizar los procedimientos sustantivos. De manera inversa, si la prueba de control revelara que hay varios puntos débiles en los controles que podrían generar dudas sobre la integridad, exactitud o validez de las cuentas, una prueba sustantiva puede aliviar estas dudas.
RELACION ENTRE PRUEBAS DE CUMPLIMIENTO Y PRUEBAS SUSTANTIVAS REVISIÓN DEL SISTEMA PARA IDENTIFIAC LOS CONTROLES
PRUEBAS DE CUMPLIMIENTO PARA DETERMINAR SI LOS CONTROLES ESTÁN FUNCIONANDO
EVALUACIÓN DE LOS CONTROLES PARA DETERMINAR LA BASE EN LA CUAL BASARSE Y L ANATURALEZA, EL ALCANCE Y LA SINCRONIZACIÓN DE LAS PRUEBAS SUSTANTIVAS
DOS TIPOS DE PRUEBAS SUSTANTIVOS PARA EVALUAR LA VALIDEZ DE LOS DATOS
PRUEBAS DE LOS BALANCES Y TRANSACCIONES
PROCEDIMIENTOS ANLÍTICOS DE REVISIÓN
EVIDENCIA • La evidencia es cualquier información usada por el auditor de SI para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. • Es un requisito que las conclusiones del auditor deben estar basadas en evidencia suficiente, relevante y competente.. • La evidencia de auditoria puede incluir observaciones, notas tomadas de las entrevistas, material extraído de la correspondencia y documentación interna o los resultados de procedimientos de prueba de auditoria..
DETERMINANTES PARA EVALUAR LA CONFIABILIDAD DE LAS EVIDENCIAS DE AUDITORIA. • Independencia del proveedor de la evidencia: La evidencia obtenida de fuentes externas es mas confiable que la obtenida dentro de la organización. • Calificación de la persona que suministra la información o evidencia. • Objetividad de la evidencia: La evidencia objetiva es mas confiable que la que requiere opinión o interpretación considerable. • Tiempo de disponibilidad de la evidencia: Se debe considerar el tiempo durante el cual la información existe o esta disponible para determinar la naturaleza, el tiempo y el grado de prueba sustantiva y su fuera aplicable la prueba de cumplimiento.
EVIDENCIA. • Independencia del proveedor de la evidencia: La evidencia obtenida de fuentes externas es mas confiable que la obtenida dentro de la organización. • Calificación de la persona que suministra la información o evidencia. • Objetividad de la evidencia: La evidencia objetiva es mas confiable que la que requiere opinión o interpretación considerable. • Tiempo de disponibilidad de la evidencia: Se debe considerar el tiempo durante el cual la información existe o esta disponible para determinar la naturaleza, el tiempo y el grado de prueba sustantiva y su fuera aplicable la prueba de cumplimiento.
TECNICAS DE RECOLECCIÓN DE EVIDENCIA. • Revisar la estructura de la Organización de los Sistemas de Información. • Revisar las políticas, procedimientos y estándares de SI. • Revisar los estándares de documentación de los sistemas de Información, como: – – – – – – – – –
Documentos que inician el desarrollo de sistemas Requerimientos funcionales y específicos Planes e informes de pruebas Programa y documentos de operaciones Registro e historial de cambio a programas Manuales de usuario Manuales de operaciones Documentos relacionados con la seguridad Informes de garantía de calidad
• Entrevistar al personal apropiado • Observar los procesos y el desempeño de los empleados.
ENTREVISTAS Y OBSERVACION.
• La observación al personal en el desempeño de sus funciones ayuda a identificar: – Funciones reales – Procesos / procedimientos reales – Concientización sobre seguridad – Líneas de reporte.
MUESTREO • Es usado cuando las consideraciones de tiempo y de costo impiden un verificación total de todas las transacciones o hechos en una población definida previamente. • Los dos métodos generales de muestreo de auditoria son: – El método estadístico: Se decide cuantitativamente el grado de aproximación con que la muestra debe representar a la población. – El método no estadístico: Se usa el juicio del auditor para determinar el método de muestreo, el numero de cosas que serán examinadas. Se basan en el criterio subjetivo respecto a cuales cosas/transacciones son mas importantes y las de mas riesgo.
MUESTREO • Dentro de estos dos métodos generales para muestreo de auditoria, hay dos métodos primarios de muestreo usados por los auditores: • Muestreo de atributos: Referido a tres tipos de muestreo proporcional. – Muestreo de Atributos: Muestreo para estimar la tasa de ocurrencia de un atributo especifico en una población. – Muestreo parar y seguir: Usado cuando el auditor cree que s encontraran relativamente pocos errores en una población. – Muestreo de descubrimiento: Usado cuando el de auditoria es descubrir un fraude, la violación de una reglamentación u otra irregularidad
MUESTREO • Muestreo de variables: referido a modelos cuantitativos: – Media estratificada por unidad: Usado para producir un tamaño total mas pequeño de muestra, en comparación con una muestra no estratificada por unidad. – Media no estratificada por unidad: Modelo estadístico por el cual se calcula una media del modelo y se proyecta como un total estimado. – Estimación por diferencia: Usado para estimar la diferencia total entre los valores auditados y los valores en libros, basada en las diferencias obtenidas a partir de observaciones de las muestras. – Para realizar un muestreo de atributos o de variables es necesario entender: coeficiente de confianza, nivel de riesgo, precisión, tasa de error esperados, media de muestra, desviación estándar de la muestra, tasa tolerable de error, desviación estándar de la población entre otros.
PASOS CLAVES PARA LA CONSTRUCCIÓN Y SELECCIÓN DE UNA MUESTRA PARA UNA PRUEBA DE AUDITORIA
• Determinar los objetivos de la prueba • Definir la población a la que se le realizara el muestreo. • Determinar el método de muestreo • Calcular el tamaño de la muestra • Seleccionar la muestra • Evaluar la muestra a partir de una perspectiva de auditoria.
CAAT’S • Durante la ejecución de auditoria, se debe obtener evidencias suficientes, relevantes y útiles para lograr los objetivos de la auditoria de manera efectiva. Los hallazgos y conclusiones de la auditoria deben ser soportadas por medio de análisis e interpretación apropiada de las evidencias. Los entornos de procesamiento de la información en la actualidad plantean un desafío difícil al auditor de SI para recolectar evidencias, relevantes y útiles ya que las evidencias existen en los medios magnéticos. • Las CAATs son herramientas importantes para el auditor de SI para recolectar información de estos entornos. • Las CAATs permiten reunir información de manera independiente, proveen un medio para ganar acceso y analizar los datos para un objetivo de auditoria determinado previamente y para reportar los hallazgos con énfasis en la fiabilidad de los registros producidos y mantenidos en el sistema.
CAAT’S • Los CAATs incluyen muchos tipos de herramientas y de técnicas, tales como: • Software generalizado de auditoria • Software utilitario • Datos de prueba • Software de aplicación • Rastreo y mapeo • Sistemas expertos • El auditor de SI debe tener un entendimiento profundo de las CAATs y saber donde y cuando aplicarlas
VENTAJAS DE LAS CAAT’S • • • • • •
Nivel reducido de riesgos de auditoria Mayor independencia respecto al auditado Cobertura de auditoria mas amplia y mas consistente. Se puede disponer de la información con mas rapidez. Una mejor identificación de las excepciones Mayor flexibilidad de los tiempos de ejecución de programas. • Mas oportunidad para cuantificar los puntos débiles del control interno. • Muestreo mas amplio. • Ahorros en los costos con el paso del tiempo.
Preguntas
• • • •
1. ¿Al realizar una auditoría basada en riesgos, cuál evaluación de riesgo es efectuada inicialmente por el auditor?. A. Evaluación del riesgo de detección B. Evaluación del riesgo de control C. Evaluación del riesgo inherente D. Evaluación del riesgo de fraude.
Preguntas
• • • •
2. ¿Cuál de los siguientes tipos de riesgo supone ausencia de controles compensatorios en el área que esta siendo revisada?. A. Riesgo de Control B. Riesgo de detección C. Riesgo inherente D. Riesgo de muestreo.
Preguntas
• • • •
3. ¿Mientras se está desarrollando un programa de auditoría basado en riesgos ¿En cual de los siguientes es más probable que el auditor de SI se concentre?. A. Proceso de negocio B. Aplicaciones clave de TI C. Controles de Operativo D. Estrategias de negocio.